Threat Zone 2026: как меняется киберландшафт и что это значит для ИБ команд

В Москве представлены результаты масштабного исследования киберугроз Threat Zone 2026, подготовленного BI.ZONE Threat Intelligence при участии команд TDR и DFIR.

Материал опирается на анализ деятельности более чем ста кластеров активности, атакующих организации в России и других странах СНГ в 2025 году. Для профессионального сообщества это, по сути, срез реальных атак за год с практическими выводами по тактикам, техникам и инструментам злоумышленников.

Ключевой вывод первого уровня: структура мотивации заметно сместилась, но фундамент остался прежним. Впервые более половины зафиксированных атак были связаны со шпионажем и хактивизмом. Доля кампаний с целью кибершпионажа выросла с 21% до 37%, а хактивистских — с 12% до 16%. На этом фоне удельный вес атак с прямой финансовой мотивацией формально снижается: 76% в 2023 году, 67% в 2024‑м и 47% в 2025‑м. Однако в абсолютных значениях объем таких инцидентов остается стабильно высоким. Исследователи подчеркивают: выкуп и монетизация доступа по‑прежнему будут главным драйвером преступной активности. Причина проста: атаковать «под выкуп» можно практически любую отрасль, поэтому круг потенциальных целей максимально широк, а барьер входа — сравнительно низкий.

По распределению по секторам существенных сюрпризов нет, но тренды важны для оценки рисков. Наиболее атакуемой отраслью снова стал госсектор — на него пришлось 14% всех зафиксированных кибератак. На втором месте — финансовая отрасль с долей 11% (против 13% годом ранее). Третью позицию делят транспортно‑логистический сектор и ритейл (включая e‑commerce) — по 10% атак на каждую сферу. Для практиков ИБ это прямой сигнал: периметр классических «критичных» отраслей расширился, а поставочные и логистические цепочки становятся все более значимой частью атакующей поверхности.

Отдельный блок исследования посвящен методам первоначального доступа. В 2025 году фишинг упрочил статус главного входа в инфраструктуру: доля целевых атак, начинающихся с фишингового письма, выросла с 57% до 64%. Каждый четвертый рассматриваемый кластер систематически использовал вредоносные вложения для проникновения в сеть жертвы. При этом аналитики ожидают не только дальнейший рост доли фишинга, но и качественную эволюцию каналов — смещение от классической электронной почты в сторону мессенджеров и социальных сетей. Для корпоративных SOC это означает, что сценарии и плейбуки реагирования должны охватывать уже не только почтовую инфраструктуру, но и весь спектр пользовательских коммуникационных сервисов.

На втором месте среди методов начального проникновения — эксплуатация служб удаленного доступа (18% атак). Здесь злоумышленники комбинируют brute force, подбор слабых и утекших паролей с массовым применением стилеров, ориентированных на кражу сохраненных учетных данных из браузеров и приложений. Третью строчку занимает компрометация подрядчиков: через цепочку поставок или доверенные интеграции атакующие получали доступ к целевым сетям в 9% проанализированных кейсов. Примечательно, что на этом фоне значительно снизилась доля атак, стартующих с эксплуатации уязвимостей в публичных веб‑приложениях: с 13% до 7% за год. Это не означает исчезновения веб‑эксплойтов, но показывает, что злоумышленники все активнее монетизируют социальную инженерию и злоупотребление доверительными связями.

Коммуникации с командными серверами и эксфильтрация данных остаются зоной, где злоумышленники максимально «сливаются» с легитимным трафиком. В качестве транспортов по‑прежнему доминируют HTTP/HTTPS, но все чаще используются дополнительные каналы: туннелирование, средства удаленного доступа и популярные облачные и веб‑сервисы. Исследование фиксирует особенно заметный рост популярности Telegram как легитимной платформы для передачи команд и вывода данных. Параллельно злоумышленники активно задействуют и другие сервисы, в том числе решения для обмена файлами и хранения резервных копий. Для средств мониторинга это создает очевидную проблему: проще всего спрятать вредоносные сессии поверх уже разрешенных и привычных направлений трафика.

Отдельная важная тенденция — снижение эффективности исключительно сигнатурного и «чеклистового» подхода к обнаружению. BI.ZONE фиксирует системный сдвиг: атакующие целенаправленно уходят от широко известных фреймворков эксплуатации и постэксплуатации к менее популярным и custom‑решениям, а также максимально используют легитимные компоненты операционных систем и инструментов разработчиков. Цель — снизить вероятность автоматического детектирования EPP‑ и антивирусными решениями. При этом совсем отказаться от известных инструментов злоумышленники не собираются: их применение, по оценке исследователей, будет чаще встречаться в атаках против организаций с низким уровнем киберзрелости, где даже базовые механизмы защиты и мониторинга внедрены не полностью.

В рамках отчета подробно рассматриваются десятки конкретных техник из матрицы MITRE ATT&CK, которые злоумышленники применяли на этапах повышения привилегий, уклонения от обнаружения, получения учетных данных, закрепления и продвижения по инфраструктуре. На уровне системных бинарей активно эксплуатируются msiexec, regsvr32, rundll32, mshta и интерпретаторы сценариев для прокси‑выполнения кода и обхода политик контроля приложений. Для эскалации прав и обхода UAC используются как классические схемы с sdclt.exe и fodhelper.exe, так и более сложные цепочки с COM‑интерфейсами и поддельными доверенными каталогами. В Linux‑средах остаются актуальными эксплойты уровня pkexec и манипуляции с системными файлами /etc/passwd и /etc/shadow.

На этапе доступа к учетным данным доминируют стилеры браузеров и дампинг памяти LSASS: от классических Mimikatz и его модификаций до более изощренных техник рефлективной загрузки PE‑модулей и атак вида process ghosting и process doppelgänging. Активно эксплуатируются слабые практики хранения секретов — пароли в файлах и реестре, история команд оболочек, приватные ключи, куки веб‑сессий. На уровне домена сохраняют значимость Kerberoasting‑атаки и полный дамп Active Directory (ntds.dit) через штатные утилиты ntdsutil, wbadmin и esentutl. Для всех этих техник в отчете приводится большой набор детектирующих правил, построенных на корреляции событий процессов, реестра, файловой системы и сети. Андрей Шкатов: «Мы перестроили управление устройствами, перешли на российский UEM и сэкономили миллионы рублей» Обзор российского рынка мини-ПК Сервис-деск как фабрика доверия

Внутрисетевое продвижение (discovery и lateral movement) по‑прежнему базируется на довольно приземленных, но эффективных методах. Взломанные учетные записи используются для систематического сбора информации об учетных записях, группах, доверительных отношениях доменов, конфигурации сети и списке систем. Злоумышленники сочетают классические консольные утилиты Windows (net, nltest, wmic, tasklist, ipconfig, ping, netsh) с PowerShell‑командлетами и вызовами WMI. Для перемещения применяются RDP, SMB, SSH, WinRM, средства массового развертывания ПО и удаленного администрирования, а также BITS‑задания и административные шары. Исследование фиксирует устойчивый интерес атакующих к серверам управления антивирусным ПО и иным централизованным системам установки программ — как к эффективной точке для быстрого распространения вымогательского ПО по всей инфраструктуре.

На этапе сбора и эксфильтрации данных злоумышленники действуют максимально прагматично: забирают все, до чего удается дотянуться. Локальные системы остаются основным источником информации, но активно используются общие сетевые ресурсы, почтовые базы, специализированные хранилища, мессенджеры и внешние носители. Перед выводу данные, как правило, архивируются — с помощью как встраиваемых средств ОС (Compress‑Archive в PowerShell), так и консольных версий популярных архиваторов (7‑Zip, WinRAR, zip) с шифрованием. Для передачи используются как собственные командные каналы ВПО, так и альтернативные протоколы и платформы: SFTP, S3‑совместимые хранилища, легитимные веб‑сервисы вроде Telegram и других облачных платформ. В ряде сценариев зафиксирована и эксфильтрация через нетривиальные каналы — DNS, ICMP, BITS, а в Unix‑средах — через утилиты семейства GTFOBins.

Отдельный пласт Threat Zone 2026 посвящен финальному этапу атаки — непосредственному воздействию на инфраструктуру. Здесь доминирует шифрование данных: программы‑вымогатели и деструктивные шифровальщики остаются самым массовым инструментом, причем нацелены они не только на файловые серверы и рабочие станции, но и на виртуальную инфраструктуру, в том числе гипервизоры ESXi. Параллельно хактивистские и диверсионные кластеры практикуют безвозвратное уничтожение данных: перезапись дисков вайперами, удаление баз данных и резервных копий, нарушение работоспособности серверов и сетевого оборудования. Для усиления эффекта практически всегда выполняется отключение механизмов восстановления — удаление теневых копий, очистка каталогов резервного копирования, модификация параметров загрузчика.

На этом фоне сохраняются и более «точечные» воздействия: остановка критичных сервисов и виртуальных машин, массовые перезагрузки и выключения, деактивация средств защиты, а также криптомайнинг как способ долгосрочной монетизации захваченных ресурсов. Исследование детализирует команды и инструменты, которые при этом используют злоумышленники, и сопровождает их набором специализированных правил детектирования, ориентированных в первую очередь на EDR‑ и XDR‑решения. Читайте также

Альтернативные подходы к системам хранения данных: миграция после ухода западных вендоров История развития отечественных решений для хранения данных в России неразрывно связана с трансформацией инфраструктуры после 2022 года. Для понимания текущей ситуации на рынке полезно рассмотреть, как различные компании адаптировались к новым условиям и какие архитектурные подходы показали наибольшую эффективность.

Отдельный блок Threat Zone 2026 посвящен роли искусственного интеллекта. По наблюдениям BI.ZONE, доля атак, где ИИ уже сейчас явно используется для написания вредоносных сценариев или автоматизации отдельных этапов, пока не превышает 1%. Тем не менее тренд на «вепонизацию» ИИ очевиден: доступность подобных инструментов снижает входной порог для менее квалифицированных атакующих и позволяет масштабировать операции. Параллельно ИИ ускоренными темпами интегрируется в средства киберзащиты — прежде всего в мониторинг и реагирование. Здесь ключевое направление — автоматизация обработки инцидентов и снижение доли рутинной аналитики в нагрузке SOC‑команд.

В обобщающем комментарии, сопровождающем отчет, подчеркивается: злоумышленники и дальше будут ориентироваться на легитимные инструменты и учетные данные из утечек, а их цель — минимизировать вероятность автоматического обнаружения. Для защитников это означает необходимость перехода от разрозненных точечных мер к комплексному и проактивному подходу. Минимально необходимый технологический базис, по оценке экспертов, сегодня включает решения класса EDR и PAM, а также зрелую практику мониторинга и расследования инцидентов. При этом ожидать снижения интенсивности атак на российские организации не приходится; напротив, доступность ИИ‑инструментов будет способствовать и росту частоты, и усложнению сценариев.

Threat Zone 2026 тем и ценен для профессиональной аудитории, что не ограничивается описанием «типовых техник», а иллюстрирует их реальным использованием в атаках на организации в России и СНГ. Набор конкретных примеров, тактик и детектирующих правил в отчете можно непосредственно использовать при доработке правил корреляции в SIEM, настройке EDR‑политик, формировании сценариев threat hunting и обучении SOC‑аналитиков.

Об авторах

Андрей ВиноградовГлавный редактор журнала IT Expert.